关键要点
微软解决了107个新CVE漏洞,其中包括一个公开披露的漏洞。十三个CVE被微软评为严重级别(九个远程代码执行、三个信息泄露、一个权限提升),影响Windows操作系统、Office、Azure Stack Hub和Azure虚拟机。
微软更新的最高优先级是SharePoint。7月份发现的SharePoint漏洞近期被利用的风险仍在持续,应尽快解决。CISA和微软在MSRC博客中已发布多个更新。
微软解决了Windows Kerberos中的一个公开披露漏洞(CVE-2025-53779)。该CVE是一个权限提升漏洞,可能允许攻击者获得域管理员权限。该CVE评级为中等,CVSS评分为7.2。该漏洞仅影响Windows Server 2025。
微软SQL Server和Exchange Server各解决了五个CVE。这两个更新的最高CVE评级均为重要级别。
8月5日发布的紧急Adobe更新解决了两个公开披露的CVE(CVE-2025-54253和CVE-2025-54254)。APSB25-82影响Adobe Experience Manager Forms,解决了两个已公开发布概念验证代码的严重CVE。
Adobe在13个更新中解决了68个CVE,包括Adobe Commerce、Substance 3D Viewer、Animate、Illustrator、Photoshop、Substance 3D modeler、Substance 3D Painter、Substance 3D Sampler、InDesign、InCopy、Substance 3D Stager、FrameMaker和Dimension。
零日和1日漏洞利用正在增加。安全供应商VulnCheck跟踪显示,2025年上半年有432个已知被利用漏洞(KEV),其中32%是零日或1日漏洞利用,给防御者应对新兴威胁的时间非常有限。(来源:CSOonline)
修复策略分析
本月开始前请思考:您已经决定本月的修复计划了吗?考虑一下:操作系统更新、生产力应用程序、浏览器和其他应用程序可能已经纳入您8月补丁维护的考虑范围。您真正需要决策的是时间安排:是按照典型的补丁星期二计划进行,还是需要加速处理任何零日漏洞等?
这实际上是在定义风险偏好的概括。漏洞管理市场上有许多关于如何现代化漏洞管理的讨论。当考虑到2025年上半年已知被利用漏洞中32%是零日或1日漏洞利用时,可能会感到不知所措。如何跟上持续的更新流?理想的方法是通过定义目标并配置成功方案。
将本月的补丁星期二分解为并行修复流:
常规维护:今天发布的大部分内容将纳入您的重复月度维护,通常从补丁星期二开始,持续两周或更长时间,具体取决于SLA、操作系统、生产力应用程序、第三方应用程序等。
优先级更新:浏览器往往发布更频繁(通常每周),可能需要优先级更新跟踪,以跟上环境中不断出现的新风险。如果您没有更频繁的浏览器更新计划,本补丁周期可能需要解决过去四周多个浏览器中的CVE。
零日响应:近期的SharePoint漏洞利用是零日漏洞破坏性/不可预测性的很好例子。
持续合规:前三个流程可以解决大部分修复挑战,但对于休假、请假、新系统交付跳过当月维护窗口或安装非最新版本新软件的用户呢?定义基线并在新更新通过质量测试时保持更新,可以在出现多种偏离原因时保持系统合规。
微软公开披露的漏洞
微软解决了Windows Kerberos中的一个公开披露漏洞(CVE-2025-53779)。该CVE是一个权限提升漏洞,可能允许攻击者获得域管理员权限。该CVE评级为中等,CVSS评分为7.2。该漏洞仅影响Windows Server 2025。
第三方漏洞
Adobe在补丁星期二发布了13个新更新,但最紧急的是8月5日发布的Adobe Experience Manager Forms更新,解决了两个公开披露的CVE(CVE-2025-54253和CVE-2025-54254)。APSB25-82
Google Chrome 139.0.7258发布解决了五个CVE,评级为严重。这也会影响Microsoft Edge,预计本周晚些时候会有更新。
8月更新优先级
-
Microsoft SharePoint是本月的最高优先级,以解决近期被多个国家级威胁行为者针对的零日漏洞利用。请尽快更新。
-
Adobe Experience Manager Forms更新于8月5日发布,是您的第二优先级。
-
Windows操作系统和Office本月有严重CVE。作为常规维护的一部分进行更新即可。
-
Microsoft Exchange Server和SQL Server各收到更新。CVE仅评级为重要,无需加速修复,但服务器管理员应开始测试并在下个月内部署。